Hur förhåller sig offentlighetsprincipen till EU:s dataskyddsförordning (GDPR) och dataskyddslagen?
Publicerad 24 juni 2019
Hej,
Enligt 21 kap. 7 § offentlighets- och sekretesslagen ska sekretess gälla för personuppgifter, om det kan antas att uppgiften... kommer att behandlas i strid med...
Innebär detta att vi kan begära sekretess på personuppgifter i CV, kursintyg och övriga bilagor i ett anbud?
Anledningen till frågan är att vi med säkerhet vet att vissa upphandlande myndigheter lämnar ut CV, kursintyg och övriga personuppgifter efter tilldelning. Har vi ett ansvar att säkerställa med myndigheten att de kommer att skydda personuppgifterna efter att vi lämnat in anbudet?
Enligt 21 kap. 7 § offentlighets- och sekretesslagen ska sekretess gälla för personuppgifter, om det kan antas att uppgiften... kommer att behandlas i strid med...
Innebär detta att vi kan begära sekretess på personuppgifter i CV, kursintyg och övriga bilagor i ett anbud?
Anledningen till frågan är att vi med säkerhet vet att vissa upphandlande myndigheter lämnar ut CV, kursintyg och övriga personuppgifter efter tilldelning. Har vi ett ansvar att säkerställa med myndigheten att de kommer att skydda personuppgifterna efter att vi lämnat in anbudet?
Lisa
Publicerad 24 juni 2019
Hej Lisa,
Dataskyddsförordningen och dataskyddslagen i förhållande till offentlighetsprincipen
En handling som förvaras hos en myndighet och är inkommen, är per definitionen en allmän handling. Rätten att ta del av en allmän handling är en grundlagsbestämmelse som regleras i tryckfrihetsförordningen (TF). Av EU:s dataskyddsförordning (även känd som GDPR) framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ, får lämnas ut i enlighet med nationell lagstiftning. Detta innebär att varken EU:s dataskyddsförordning eller den kompletterande dataskyddslagen ska tillämpas om tillämpningen skulle strida mot bestämmelserna i TF. För att säkerställa den enskildes behov av skydd för sin personliga integritet även vid utlämnande av en allmän handling ska dock bestämmelserna i offentlighets- och sekretesslagen (OSL) iakttas.
Sekretess till följd av behandling i strid med dataskyddsregleringen
Huvudregeln är alltså att en myndighet ska lämna ut en allmän handling eller en uppgift i den, om den inte är sekretessbelagd. Detta innebär att myndigheten har en skyldighet att genomföra en sekretessprövning innan handlingen eller uppgiften kan lämnas ut. Enligt OSL gäller sekretess för personuppgift om det kan antas att uppgiften, efter utlämnandet, kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen tar sikte på att sekretessprövningen ska ske med hänsyn till hur uppgiften kommer att behandlas efter det att handlingen har lämnats ut och gäller alltså inte om själva utlämnande av personuppgifterna står i strid med dataskyddsregleringen.
Begäran om sekretess och myndigheternas sekretessprövning
När en leverantör lämnar in ett anbud till en myndighet som omfattas av bestämmelserna i TF och OSL kan leverantören begära sekretess på uppgifter som lämnas i anbudet. Denna begäran är inte bindande för myndigheten utan den utgör endast en upplysning om vilka uppgifter leverantören anser att myndigheten särskilt bör uppmärksamma vid en sekretessprövning. Myndigheten har med andra ord en skyldighet att självständigt genomföra en sekretessprövning oavsett om leverantören har begärt sekretess eller inte.
I förarbetena till gamla sekretesslagen diskuterades vad som krävs för att hemlighålla uppgifter i en anbudshandling enligt bestämmelsen om sekretess för uppgift om en enskilds affärs- eller driftförhållande när denne har trätt i affärsförbindelse med myndigheten. Där framgår att om en begäran om sekretess har framförts och motiverats utifrån vilken skada som ett utlämnande kan vålla leverantören så bör myndigheten kunna sätta tilltro till vad leverantören anför och att något krav på mer ingående utredning finns då inte.
Det är tveksamt om samma argumentation kan hålla när det gäller sekretess till följd av behandling i strid med dataskyddsregleringen då leverantören inte i förväg vet vem som kommer att begära ut uppgifterna och det bör då inte heller generellt kunna antas att uppgifterna, efter ett utlämnande, kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen.
I sammanhanget kan det nämnas att det finns rättsfall där ett utlämnande av CV och uppgifter om personal inom exempelvis upphandlingar av konsulttjänster har ansetts kunna leda till en identifiering som har ett kommersiellt värde och som därav kan anses utgöra affärshemligheter. En bedömning om utlämnandet kan innebära en skada för leverantören måste dock ske i varje enskilt fall.
Leverantörens ansvar att säkerställa skyddet av inlämnade personuppgifter
Bestämmelsen om att myndigheten självständigt ska genomföra en sekretessprövning innebär att en leverantör inte själv kan säkerställa skyddet av inlämnade personuppgifterna. Det finns dock vissa grundläggande krav som ska följas vid behandling av personuppgifter. Exempelvis får inte myndigheten behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet för behandlingen. Om myndigheten begär personuppgifter som inte kan motiveras ur ett dataskyddsperspektiv så kan leverantören påtala detta till myndigheten. Myndigheten kan då överväga eventuella ändringar eller förtydliganden. Ett annat sätt för leverantören att kontrollera vilket skydd som ges för inlämnade personuppgifter är att läsa myndighetens dataskyddspolicy. I policyn bör det framgå hur myndigheten samlar in och behandlar personuppgifter i sin verksamhet.
Läs mer
Läs mer om EU:s dataskyddsförordning och dataskyddslagen på Integritetsskyddsmyndighetens webbplats. Läs mer om förhållandet mellan EU:s dataskyddsförordning och offentlighetsprincipen i inläggen Är tilldelningsbeslut en allmän handling? samt Hur bör leverantören agera för att följa reglerna i dataskyddsförordningen? i vår Frågeportal.
För mer information om vad som gäller avseende personuppgiftsbehandling hos myndigheter hänvisar vi till Integritetsskyddsmyndigheten.
Källhänvisningar
Dataskyddsförordningen och dataskyddslagen i förhållande till offentlighetsprincipen
En handling som förvaras hos en myndighet och är inkommen, är per definitionen en allmän handling. Rätten att ta del av en allmän handling är en grundlagsbestämmelse som regleras i tryckfrihetsförordningen (TF). Av EU:s dataskyddsförordning (även känd som GDPR) framgår att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ, får lämnas ut i enlighet med nationell lagstiftning. Detta innebär att varken EU:s dataskyddsförordning eller den kompletterande dataskyddslagen ska tillämpas om tillämpningen skulle strida mot bestämmelserna i TF. För att säkerställa den enskildes behov av skydd för sin personliga integritet även vid utlämnande av en allmän handling ska dock bestämmelserna i offentlighets- och sekretesslagen (OSL) iakttas.
Sekretess till följd av behandling i strid med dataskyddsregleringen
Huvudregeln är alltså att en myndighet ska lämna ut en allmän handling eller en uppgift i den, om den inte är sekretessbelagd. Detta innebär att myndigheten har en skyldighet att genomföra en sekretessprövning innan handlingen eller uppgiften kan lämnas ut. Enligt OSL gäller sekretess för personuppgift om det kan antas att uppgiften, efter utlämnandet, kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen tar sikte på att sekretessprövningen ska ske med hänsyn till hur uppgiften kommer att behandlas efter det att handlingen har lämnats ut och gäller alltså inte om själva utlämnande av personuppgifterna står i strid med dataskyddsregleringen.
Begäran om sekretess och myndigheternas sekretessprövning
När en leverantör lämnar in ett anbud till en myndighet som omfattas av bestämmelserna i TF och OSL kan leverantören begära sekretess på uppgifter som lämnas i anbudet. Denna begäran är inte bindande för myndigheten utan den utgör endast en upplysning om vilka uppgifter leverantören anser att myndigheten särskilt bör uppmärksamma vid en sekretessprövning. Myndigheten har med andra ord en skyldighet att självständigt genomföra en sekretessprövning oavsett om leverantören har begärt sekretess eller inte.
I förarbetena till gamla sekretesslagen diskuterades vad som krävs för att hemlighålla uppgifter i en anbudshandling enligt bestämmelsen om sekretess för uppgift om en enskilds affärs- eller driftförhållande när denne har trätt i affärsförbindelse med myndigheten. Där framgår att om en begäran om sekretess har framförts och motiverats utifrån vilken skada som ett utlämnande kan vålla leverantören så bör myndigheten kunna sätta tilltro till vad leverantören anför och att något krav på mer ingående utredning finns då inte.
Det är tveksamt om samma argumentation kan hålla när det gäller sekretess till följd av behandling i strid med dataskyddsregleringen då leverantören inte i förväg vet vem som kommer att begära ut uppgifterna och det bör då inte heller generellt kunna antas att uppgifterna, efter ett utlämnande, kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen.
I sammanhanget kan det nämnas att det finns rättsfall där ett utlämnande av CV och uppgifter om personal inom exempelvis upphandlingar av konsulttjänster har ansetts kunna leda till en identifiering som har ett kommersiellt värde och som därav kan anses utgöra affärshemligheter. En bedömning om utlämnandet kan innebära en skada för leverantören måste dock ske i varje enskilt fall.
Leverantörens ansvar att säkerställa skyddet av inlämnade personuppgifter
Bestämmelsen om att myndigheten självständigt ska genomföra en sekretessprövning innebär att en leverantör inte själv kan säkerställa skyddet av inlämnade personuppgifterna. Det finns dock vissa grundläggande krav som ska följas vid behandling av personuppgifter. Exempelvis får inte myndigheten behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet för behandlingen. Om myndigheten begär personuppgifter som inte kan motiveras ur ett dataskyddsperspektiv så kan leverantören påtala detta till myndigheten. Myndigheten kan då överväga eventuella ändringar eller förtydliganden. Ett annat sätt för leverantören att kontrollera vilket skydd som ges för inlämnade personuppgifter är att läsa myndighetens dataskyddspolicy. I policyn bör det framgå hur myndigheten samlar in och behandlar personuppgifter i sin verksamhet.
Läs mer
Läs mer om EU:s dataskyddsförordning och dataskyddslagen på Integritetsskyddsmyndighetens webbplats. Läs mer om förhållandet mellan EU:s dataskyddsförordning och offentlighetsprincipen i inläggen Är tilldelningsbeslut en allmän handling? samt Hur bör leverantören agera för att följa reglerna i dataskyddsförordningen? i vår Frågeportal.
För mer information om vad som gäller avseende personuppgiftsbehandling hos myndigheter hänvisar vi till Integritetsskyddsmyndigheten.
Källhänvisningar
- 2 kap. tryckfrihetsförordningen (1949:105) (TF) – allmänna handlingars offentlighet
- 6 kap. 4 § offentlighets- och sekretesslagen (2009:400) (OSL) – skyldighet att på begäran från enskild lämna ut uppgift ur en allmän handling
- 21 kap. 7 § OSL – sekretess vid behandling i strid med dataskyddsregleringen
- prop. 2017/18:105 s. 135 – förtydligande om att bestämmelsen i 21 kap. 7 § OSL endast avser mottagarens behandling av personuppgiften och inte utlämnandet i sig
- 1 kap. 7 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) – dataskyddslagens förhållande till tryck- och yttrandefriheten
- Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (EU:s dataskyddsförordning), beaktandesats 153 och 154 samt artikel 86 – behandling och allmänhetens tillgång till allmänna handlingar
- prop. 2017/18:105 s. 40–43 – överväganden kring dataskyddsförordningen och dataskyddslagens förhållande till offentlighetsprincipen
- prop. 1979/80:2 del A s. 241–242 – förarbetena till gamla sekretesslagen angående vilken utredning krävs vid sekretessprövning enligt dåvarande motsvarigheten till 31 kap. 16 § OSL avseende enskildas affärsförbindelser med myndigheter
- HFD 2016 ref. 17 – fråga om CV och personuppgifter om personal ska lämnas ut.
Victoria
Jurist
27 juni 2019 (Uppdaterat 01 mars 2023)
Fråga oss!
25–26 april är Frågeservice stängd på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.